Kimlik ve erişim güvenlik önerileri
Bu makalede, Bulut için Microsoft Defender görebileceğiniz tüm kimlik ve erişim güvenlik önerileri listelenir.
Ortamınızda görüntülenen öneriler, koruduğunuz kaynakları ve özelleştirilmiş yapılandırmanızı temel alır.
Bu önerilere yanıt olarak gerçekleştirebileceğiniz eylemler hakkında bilgi edinmek için bkz. Bulut için Defender'de önerileri düzeltme.
İpucu
Öneri açıklamasında İlişkili ilke yok ifadesi varsa, bunun nedeni genellikle önerinin farklı bir öneriye bağımlı olmasıdır.
Örneğin, Uç nokta koruma sistem durumu hatalarının düzeltilmesi önerisi, bir uç nokta koruma çözümünün yüklü olup olmadığını denetleyene (Uç nokta koruma çözümü yüklenmelidir) öneriye bağlıdır. Temel alınan önerinin bir ilkesi vardır. İlkeleri yalnızca temel önerilerle sınırlamak, ilke yönetimini basitleştirir.
Azure kimlik ve erişim önerileri
Abonelikler için en fazla 3 sahip belirlenmelidir
Açıklama: Risk altındaki sahip hesaplarının ihlal olasılığını azaltmak için sahip hesabı sayısını en fazla 3 ile sınırlamanızı öneririz (İlgili ilke: Aboneliğiniz için en fazla 3 sahip belirlenmelidir).
Önem Derecesi: Yüksek
Azure kaynaklarında sahip izinlerine sahip hesapların MFA etkin olması gerekir
Açıklama: Kullanıcılarınızın kimliğini doğrulamak için yalnızca parola kullanıyorsanız, saldırı vektörlerini açık bırakıyorsunuz demektir. Kullanıcılar genellikle birden çok hizmet için zayıf parolalar kullanır. Çok faktörlü kimlik doğrulamasını (MFA) etkinleştirerek, hesaplarınız için daha iyi güvenlik sağlarken, kullanıcılarınızın çoklu oturum açma (SSO) ile neredeyse tüm uygulamalar için kimlik doğrulamasına izin verirsiniz. Çok faktörlü kimlik doğrulaması, oturum açma işlemi sırasında başka bir tanımlama biçimi için kullanıcılardan istendiği bir işlemdir. Örneğin, cep telefonuna bir kod gönderilebilir veya parmak izi taraması istenebilir. İhlalleri ve saldırıları önlemek için Azure kaynakları üzerinde sahip izinleri olan tüm hesaplar için MFA'yı etkinleştirmenizi öneririz. Daha fazla ayrıntı ve sık sorulan sorulara buradan ulaşabilirsiniz: Aboneliklerinizde çok faktörlü kimlik doğrulaması (MFA) zorlamasını yönetme (İlgili ilke yok).
Önem Derecesi: Yüksek
Azure kaynaklarında okuma izinlerine sahip hesaplar MFA etkinleştirilmelidir
Açıklama: Kullanıcılarınızın kimliğini doğrulamak için yalnızca parola kullanıyorsanız, saldırı vektörlerini açık bırakıyorsunuz demektir. Kullanıcılar genellikle birden çok hizmet için zayıf parolalar kullanır. Çok faktörlü kimlik doğrulamasını (MFA) etkinleştirerek, hesaplarınız için daha iyi güvenlik sağlarken, kullanıcılarınızın çoklu oturum açma (SSO) ile neredeyse tüm uygulamalar için kimlik doğrulamasına izin verirsiniz. Çok faktörlü kimlik doğrulaması, oturum açma işlemi sırasında kullanıcılardan ek bir tanımlama biçimi istendiği bir işlemdir. Örneğin, cep telefonuna bir kod gönderilebilir veya parmak izi taraması istenebilir. İhlal ve saldırıları önlemek için Azure kaynakları üzerinde okuma izinlerine sahip tüm hesaplar için MFA'yı etkinleştirmenizi öneririz. Daha fazla ayrıntı ve sık sorulan sorulara buradan ulaşabilirsiniz. (İlişkili ilke yok)
Önem Derecesi: Yüksek
Azure kaynaklarında yazma izinlerine sahip hesapların MFA etkin olması gerekir
Açıklama: Kullanıcılarınızın kimliğini doğrulamak için yalnızca parola kullanıyorsanız, saldırı vektörlerini açık bırakacaksınız. Kullanıcılar genellikle birden çok hizmet için zayıf parolalar kullanır. Çok faktörlü kimlik doğrulamasını (MFA) etkinleştirerek, hesaplarınız için daha iyi güvenlik sağlarken, kullanıcılarınızın çoklu oturum açma (SSO) ile neredeyse tüm uygulamalar için kimlik doğrulamasına izin verirsiniz. Çok faktörlü kimlik doğrulaması, oturum açma işlemi sırasında kullanıcılardan ek bir tanımlama biçimi istendiği bir işlemdir. Örneğin, cep telefonuna bir kod gönderilebilir veya parmak izi taraması istenebilir. İhlalleri ve saldırıları önlemek için Azure kaynakları üzerinde yazma izinleri olan tüm hesaplar için MFA'yı etkinleştirmenizi öneririz. Daha fazla ayrıntı ve sık sorulan sorulara buradan ulaşabilirsiniz: Aboneliklerinizde çok faktörlü kimlik doğrulaması (MFA) zorlamasını yönetme (İlgili ilke yok).
Önem Derecesi: Yüksek
Azure Cosmos DB hesapları tek kimlik doğrulama yöntemi olarak Azure Active Directory kullanmalıdır
Açıklama: Azure hizmetlerinde kimlik doğrulamanın en iyi yolu Rol Tabanlı Erişim Denetimi (RBAC) kullanmaktır. RBAC, en düşük ayrıcalık ilkesini korumanıza olanak tanır ve güvenliği aşıldığında etkili bir yanıt yöntemi olarak izinleri iptal etme özelliğini destekler. Azure Cosmos DB hesabınızı tek kimlik doğrulama yöntemi olarak RBAC'yi zorunlu kacak şekilde yapılandırabilirsiniz. Zorlama yapılandırıldığında, diğer tüm erişim yöntemleri reddedilir (birincil/ikincil anahtarlar ve erişim belirteçleri). (İlişkili ilke yok)
Önem Derecesi: Orta
Azure kaynaklarında sahip izinlerine sahip engellenen hesaplar kaldırılmalıdır
Açıklama: Active Directory'de oturum açması engellenen hesapların Azure kaynaklarınızdan kaldırılması gerekir. Bu hesaplar, fark edilmeden verilerinize erişmenin yollarını bulmak isteyen saldırganlar için hedef olabilir. (İlişkili ilke yok)
Önem Derecesi: Yüksek
Azure kaynaklarında okuma ve yazma izinlerine sahip engellenen hesaplar kaldırılmalıdır
Açıklama: Active Directory'de oturum açması engellenen hesapların Azure kaynaklarınızdan kaldırılması gerekir. Bu hesaplar, fark edilmeden verilerinize erişmenin yollarını bulmak isteyen saldırganlar için hedef olabilir. (İlişkili ilke yok)
Önem Derecesi: Yüksek
Kullanım dışı bırakılan hesaplar aboneliklerden kaldırılmalıdır
Açıklama: Oturum açması engellenen kullanıcı hesaplarının aboneliklerinizden kaldırılması gerekir. Bu hesaplar, fark edilmeden verilerinize erişmenin yollarını bulmak isteyen saldırganlar için hedef olabilir. (İlgili ilke: Kullanım dışı bırakılan hesaplar aboneliğinizden kaldırılmalıdır).
Önem Derecesi: Yüksek
Sahip izinlerine sahip kullanım dışı bırakılan hesaplar aboneliklerden kaldırılmalıdır
Açıklama: Oturum açması engellenen kullanıcı hesaplarının aboneliklerinizden kaldırılması gerekir. Bu hesaplar, fark edilmeden verilerinize erişmenin yollarını bulmak isteyen saldırganlar için hedef olabilir. (İlgili ilke: Sahip izinlerine sahip olan kullanım dışı bırakılan hesaplar aboneliğinizden kaldırılmalıdır).
Önem Derecesi: Yüksek
Key Vault'taki tanılama günlükleri etkinleştirilmelidir
Açıklama: Günlükleri etkinleştirin ve bir yıla kadar tutun. Bu, bir güvenlik olayı oluştuğunda veya ağınız tehlikeye atıldığında araştırma amacıyla etkinlik izlerini yeniden oluşturmanıza olanak tanır. (İlgili ilke: Key Vault'taki tanılama günlükleri etkinleştirilmelidir).
Önem Derecesi: Düşük
Sahip izinlerine sahip dış hesaplar aboneliklerden kaldırılmalıdır
Açıklama: Farklı etki alanı adlarına (dış hesaplar) sahip izinleri olan hesaplar aboneliğinizden kaldırılmalıdır. Bu, izlenmeyen erişimi engeller. Bu hesaplar, fark edilmeden verilerinize erişmenin yollarını bulmak isteyen saldırganlar için hedef olabilir. (İlgili ilke: Sahip izinlerine sahip dış hesaplar aboneliğinizden kaldırılmalıdır).
Önem Derecesi: Yüksek
Okuma izinlerine sahip dış hesaplar aboneliklerden kaldırılmalıdır
Açıklama: Farklı etki alanı adlarına (dış hesaplar) sahip okuma izinlerine sahip hesaplar aboneliğinizden kaldırılmalıdır. Bu, izlenmeyen erişimi engeller. Bu hesaplar, fark edilmeden verilerinize erişmenin yollarını bulmak isteyen saldırganlar için hedef olabilir. (İlgili ilke: Okuma izinlerine sahip dış hesaplar aboneliğinizden kaldırılmalıdır).
Önem Derecesi: Yüksek
Yazma izinlerine sahip dış hesaplar aboneliklerden kaldırılmalıdır
Açıklama: Farklı etki alanı adlarına (dış hesaplar) sahip yazma izinlerine sahip hesaplar aboneliğinizden kaldırılmalıdır. Bu, izlenmeyen erişimi engeller. Bu hesaplar, fark edilmeden verilerinize erişmenin yollarını bulmak isteyen saldırganlar için hedef olabilir. (İlgili ilke: Yazma izinlerine sahip dış hesaplar aboneliğinizden kaldırılmalıdır).
Önem Derecesi: Yüksek
Güvenlik duvarı Key Vault'ta etkinleştirilmelidir
Açıklama: Anahtar kasasının güvenlik duvarı, yetkisiz trafiğin anahtar kasanıza ulaşmasını engeller ve gizli dizileriniz için ek bir koruma katmanı sağlar. Anahtar kasanıza yalnızca izin verilen ağlardan gelen trafiğin erişebildiğinden emin olmak için güvenlik duvarını etkinleştirin. (İlgili ilke: Güvenlik duvarı Key Vault'ta etkinleştirilmelidir).
Önem Derecesi: Orta
Azure kaynaklarında sahip izinlerine sahip konuk hesapları kaldırılmalıdır
Açıklama: Azure Active Directory kiracısı (farklı etki alanı adları) dışında sağlanan sahip izinlerine sahip hesapların Azure kaynaklarınızdan kaldırılması gerekir. Konuk hesapları, kurumsal kiracı kimlikleri ile aynı standartlara göre yönetilmez. Bu hesaplar, fark edilmeden verilerinize erişmenin yollarını bulmak isteyen saldırganlar için hedef olabilir. (İlişkili ilke yok)
Önem Derecesi: Yüksek
Azure kaynaklarında okuma izinlerine sahip konuk hesapları kaldırılmalıdır
Açıklama: Azure Active Directory kiracısı (farklı etki alanı adları) dışında sağlanan okuma izinlerine sahip hesaplar Azure kaynaklarınızdan kaldırılmalıdır. Konuk hesapları, kurumsal kiracı kimlikleri ile aynı standartlara göre yönetilmez. Bu hesaplar, fark edilmeden verilerinize erişmenin yollarını bulmak isteyen saldırganlar için hedef olabilir. (İlişkili ilke yok)
Önem Derecesi: Yüksek
Azure kaynaklarında yazma izinlerine sahip konuk hesapları kaldırılmalıdır
Açıklama: Azure Active Directory kiracısı (farklı etki alanı adları) dışında sağlanan yazma izinlerine sahip hesaplar Azure kaynaklarınızdan kaldırılmalıdır. Konuk hesapları, kurumsal kiracı kimlikleri ile aynı standartlara göre yönetilmez. Bu hesaplar, fark edilmeden verilerinize erişmenin yollarını bulmak isteyen saldırganlar için hedef olabilir. (İlişkili ilke yok)
Önem Derecesi: Yüksek
Key Vault anahtarlarının son kullanma tarihi olmalıdır
Açıklama: Şifreleme anahtarları tanımlı bir son kullanma tarihine sahip olmalı ve kalıcı olmamalıdır. Sonsuza kadar geçerli olan anahtarlar, potansiyel bir saldırgana anahtarın güvenliğini aşması için daha fazla zaman sağlar. Şifreleme anahtarlarında son kullanma tarihlerini ayarlamak önerilen bir güvenlik uygulamasıdır. (İlgili ilke: Key Vault anahtarlarının son kullanma tarihi olmalıdır).
Önem Derecesi: Yüksek
Key Vault gizli dizilerinin son kullanma tarihi olmalıdır
Açıklama: Gizli diziler tanımlı bir sona erme tarihine sahip olmalı ve kalıcı olmamalıdır. Sonsuza kadar geçerli olan gizli diziler, potansiyel bir saldırgana bunları ele geçirebilecek daha fazla zaman sağlar. Gizli diziler için son kullanma tarihlerini ayarlamak önerilen bir güvenlik uygulamasıdır. (İlgili ilke: Key Vault gizli dizilerinin son kullanma tarihi olmalıdır).
Önem Derecesi: Yüksek
Anahtar kasalarında temizleme koruması etkinleştirilmelidir
Açıklama: Bir anahtar kasasının kötü amaçlı silinmesi kalıcı veri kaybına neden olabilir. Kuruluşunuzdaki kötü amaçlı bir insider, anahtar kasalarını silebilir ve temizleyebilir. Temizleme koruması, geçici olarak silinen anahtar kasaları için zorunlu saklama süresi zorunlu tutularak sizi içeriden gelen saldırılara karşı korur. Geçici silme saklama süresi boyunca kuruluşunuzdaki veya Microsoft'un içindeki hiç kimse anahtar kasalarınızı temizleyemez. (İlgili ilke: Anahtar kasalarında temizleme koruması etkinleştirilmelidir).
Önem Derecesi: Orta
Anahtar kasalarında geçici silme etkinleştirilmelidir
Açıklama: Geçici silme etkinleştirilmeden bir anahtar kasası silindiğinde anahtar kasasında depolanan tüm gizli diziler, anahtarlar ve sertifikalar kalıcı olarak silinir. Anahtar kasasının yanlışlıkla silinmesi kalıcı veri kaybına neden olabilir. Geçici silme, yapılandırılabilir saklama süresi için yanlışlıkla silinen bir anahtar kasasını kurtarmanıza olanak tanır. (İlgili ilke: Anahtar kasalarında geçici silme etkinleştirilmelidir).
Önem Derecesi: Yüksek
Aboneliklerde sahip izinleri olan hesaplarda MFA etkinleştirilmelidir
Açıklama: Hesapların veya kaynakların ihlal edilmesini önlemek için sahip izinlerine sahip tüm abonelik hesaplarında çok faktörlü kimlik doğrulaması (MFA) etkinleştirilmelidir. (İlgili ilke: MFA, aboneliğinizde sahip izinleri olan hesaplarda etkinleştirilmelidir).
Önem Derecesi: Yüksek
Aboneliklerde okuma izinlerine sahip hesaplarda MFA etkinleştirilmelidir
Açıklama: Hesapların veya kaynakların ihlal edilmesini önlemek için okuma ayrıcalıklarına sahip tüm abonelik hesaplarında çok faktörlü kimlik doğrulaması (MFA) etkinleştirilmelidir. (İlgili ilke: MFA, aboneliğinizde okuma izinlerine sahip hesaplarda etkinleştirilmelidir).
Önem Derecesi: Yüksek
Aboneliklerde yazma izinlerine sahip hesaplarda MFA etkinleştirilmelidir
Açıklama: Hesapların veya kaynakların ihlal edilmesini önlemek için yazma ayrıcalıklarına sahip tüm abonelik hesaplarında çok faktörlü kimlik doğrulaması (MFA) etkinleştirilmelidir. (İlgili ilke: MFA, aboneliğinizde yazma izinlerine sahip hesapları etkinleştirmelidir).
Önem Derecesi: Yüksek
Key Vault için Microsoft Defender etkinleştirilmelidir
Açıklama: Bulut için Microsoft Defender ek bir güvenlik zekası katmanı sağlayan Key Vault için Microsoft Defender'ı içerir. Key Vault için Microsoft Defender, Key Vault hesaplarına erişmeye veya bu hesaplardan yararlanmaya yönelik olağan dışı ve zararlı olabilecek girişimleri algılar.
Bu plandaki korumalar Defender planları sayfasında gösterildiği gibi ücretlendirilir. Bu abonelikte anahtar kasanız yoksa sizden ücret alınmaz. Daha sonra bu abonelikte anahtar kasaları oluşturursanız, bunlar otomatik olarak korunur ve ücretler başlar. Bölge başına fiyatlandırma ayrıntıları hakkında bilgi edinin. Daha fazla bilgi için bkz . Key Vault için Microsoft Defender'a giriş. (İlgili ilke: Key Vault için Azure Defender etkinleştirilmelidir).
Önem Derecesi: Yüksek
Azure aboneliğinizdeki etkin olmayan kimliklerin izinleri iptal edilmelidir
Açıklama: Bulut için Microsoft Defender son 45 gün içinde Azure aboneliğinizdeki herhangi bir kaynak üzerinde herhangi bir işlem gerçekleştirmemiş bir kimlik keşfettiniz. Bulut ortamınızın saldırı yüzeyini azaltmak için etkin olmayan kimliklerin izinlerini iptal etmek önerilir.
Önem Derecesi: Orta
Key Vault için özel uç nokta yapılandırılmalıdır
Açıklama: Özel bağlantı, genel İnternet üzerinden trafik göndermeden Key Vault'u Azure kaynaklarınıza bağlamanın bir yolunu sağlar. Özel bağlantı, veri sızdırmaya karşı derinlemesine koruma sağlar. (İlgili ilke: Key Vault için özel uç nokta yapılandırılmalıdır).
Önem Derecesi: Orta
Depolama hesabı genel erişimine izin verilmemelidir
Açıklama: Azure Depolama'da kapsayıcılara ve bloblara anonim genel okuma erişimi, verileri paylaşmanın kolay bir yoludur, ancak güvenlik riskleri sunabilir. İstenmeyen anonim erişimin neden olduğu veri ihlallerini önlemek için Microsoft, senaryonuz gerektirmediği sürece bir depolama hesabına genel erişimin engellenmesini önerir. (İlgili ilke: Depolama hesabı genel erişimine izin verilmemelidir).
Önem Derecesi: Orta
Aboneliklere atanmış birden fazla sahip olmalıdır
Açıklama: Yönetici erişimi yedekliliğine sahip olmak için birden fazla abonelik sahibi belirleyin. (İlgili ilke: Aboneliğinize birden fazla sahip atanmış olmalıdır).
Önem Derecesi: Yüksek
Azure Key Vault'ta depolanan sertifikaların geçerlilik süresi 12 ayı geçmemelidir
Açıklama: Sertifikalarınızın geçerlilik süresinin 12 ayı aşmadığından emin olun. (İlgili ilke: Sertifikalar belirtilen en yüksek geçerlilik süresine sahip olmalıdır).
Önem Derecesi: Orta
Azure fazla sağlanan kimlikler yalnızca gerekli izinlere sahip olmalıdır (Önizleme)
Açıklama: Fazla sağlanan kimlikler veya fazla izin verilen kimlikler, verilen izinlerinin çoğunu kullanmaz. İzinlerin yanlışlıkla veya kötü amaçlı kullanım riskini azaltmak için bu kimliklerin izinlerini düzenli olarak doğru boyutlandırın. Bu eylem, bir güvenlik olayı sırasında olası patlama yarıçapını azaltır.
Önem Derecesi: Orta
Azure ortamınızdaki süper kimlikler kaldırılmalıdır (Önizleme)
Açıklama: Süper Kimlik, kullanıcılar, Hizmet Sorumluları ve sunucusuz işlevler gibi yönetici izinlerine sahip olan ve altyapıdaki herhangi bir kaynak üzerinde herhangi bir eylem gerçekleştirebilen herhangi bir insan veya iş yükü kimliğidir. Kötü amaçlı veya yanlışlıkla yapılan izinlerin kötüye kullanılması hizmet kesintisine, hizmette düşüşe veya veri sızıntısına neden olabileceği için Süper Kimlikler son derece yüksek risklidir. Süper Kimlikler, bulut altyapısı için büyük bir tehdit oluşturur. Çok fazla süper kimlik aşırı risk oluşturabilir ve bir ihlal sırasında patlama yarıçapını artırabilir.
Önem Derecesi: Orta
AWS kimlik ve erişim önerileri
Amazon Elasticsearch Service etki alanları bir VPC'de olmalıdır
Açıklama: VPC, ortak uç noktaya sahip etki alanları içeremez. Bu, genel erişilebilirliği belirlemek için VPC alt ağ yönlendirme yapılandırmasını değerlendirmez.
Önem Derecesi: Yüksek
Demet ilkelerinde diğer AWS hesaplarına verilen Amazon S3 izinleri kısıtlanmalıdır
Açıklama: En az ayrıcalık erişimi uygulamak, güvenlik riskini ve hataların veya kötü amaçlı amacın etkisini azaltmanın temelidir. Bir S3 demeti ilkesi dış hesaplardan erişime izin veriyorsa, bir iç tehdit veya saldırgan tarafından veri sızdırmaya neden olabilir. 'blacklistedactionpatterns' parametresi, S3 demetleri için kuralın başarılı bir şekilde değerlendirilmesini sağlar. parametresi, 'blacklistedactionpatterns' listesine dahil olmayan eylem desenleri için dış hesaplara erişim verir.
Önem Derecesi: Yüksek
"kök" hesabı kullanmaktan kaçının
Açıklama: "Kök" hesabı, AWS hesabındaki tüm kaynaklara sınırsız erişime sahiptir. Bu hesabın kullanımından kaçınılması kesinlikle önerilir. "Kök" hesap en ayrıcalıklı AWS hesabıdır. Bu hesabın kullanımını en aza indirmek ve erişim yönetimi için en az ayrıcalık ilkesini benimsemek, yanlışlıkla değişiklik yapılması ve yüksek ayrıcalıklı kimlik bilgilerinin istenmeyen şekilde açıklanması riskini azaltır.
Önem Derecesi: Yüksek
AWS KMS anahtarları yanlışlıkla silinmemelidir
Açıklama: Bu denetim, KMS anahtarlarının silinmek üzere zamanlanıp zamanılmadığını denetler. KmS anahtarı silinmek üzere zamanlanmışsa denetim başarısız olur. KMS anahtarları silindikten sonra kurtarılamaz. KMS anahtarı altında şifrelenen veriler, KMS anahtarı silinirse kalıcı olarak kurtarılamaz. Silinmek üzere zamanlanan bir KMS anahtarı altında anlamlı veriler şifrelendiyse, kasıtlı olarak bir şifreleme silme işlemi gerçekleştirmediğiniz sürece verilerin şifresini çözmeyi veya yeni bir KMS anahtarı altında verileri yeniden şifrelemeyi göz önünde bulundurun. Bir KMS anahtarı silinmek üzere zamanlandığında, hatayla zamanlanmışsa silme işleminin geri alınabilmesi için zorunlu bir bekleme süresi uygulanır. Varsayılan bekleme süresi 30 gündür, ancak KMS anahtarının silinmesi zamanlandığında bu süre yedi güne kadar kısa olabilir. Bekleme süresi boyunca zamanlanan silme işlemi iptal edilebilir ve KMS anahtarı silinmez. KMS anahtarlarını silme hakkında daha fazla bilgi için AWS Anahtar Yönetim Merkezi Geliştirici Kılavuzu'nda KMS anahtarlarını silme bölümüne bakın.
Önem Derecesi: Yüksek
AWS fazla sağlanan kimlikler yalnızca gerekli izinlere sahip olmalıdır (Önizleme)
Açıklama: Aşırı sağlanan etkin kimlik, kullanmadıkları ayrıcalıklara erişimi olan bir kimliktir. Özellikle tanımlanmış eylemleri ve sorumlulukları olan insan olmayan hesaplar için aşırı sağlanan etkin kimlikler, kullanıcı, anahtar veya kaynak güvenliğinin tehlikeye atması durumunda patlama yarıçapını artırabilir. Gerekli olmayan izinleri kaldırın ve en az ayrıcalıklı izinlere ulaşmak için gözden geçirme işlemleri oluşturun.
Önem Derecesi: Orta
AWS WAF Klasik genel web ACL günlüğü etkinleştirilmelidir
Açıklama: Bu denetim, AWS WAF genel Web ACL'sinde günlüğe kaydetmenin etkinleştirilip etkinleştirilmediğini denetler. Günlük web ACL'sinde etkinleştirilmediyse bu denetim başarısız olur. Günlüğe kaydetme, AWS WAF'nin küresel olarak güvenilirliğini, kullanılabilirliğini ve performansını korumanın önemli bir parçasıdır. Bu, birçok kuruluşta bir iş ve uyumluluk gereksinimidir ve uygulama davranışı sorunlarını gidermenize olanak tanır. Ayrıca AWS WAF'ye bağlı olan web ACL'sinin analiz ettiği trafik hakkında ayrıntılı bilgi sağlar.
Önem Derecesi: Orta
CloudFront dağıtımlarında varsayılan kök nesne yapılandırılmış olmalıdır
Açıklama: Bu denetim, Amazon CloudFront dağıtımının varsayılan kök nesne olan belirli bir nesneyi döndürecek şekilde yapılandırılıp yapılandırılmadığını denetler. CloudFront dağıtımında varsayılan kök nesne yapılandırılmamışsa denetim başarısız olur. Kullanıcı bazen dağıtımdaki bir nesne yerine dağıtım kök URL'sini isteyebilir. Bu durumda, varsayılan bir kök nesne belirtmek web dağıtımınızın içeriğini açığa çıkarmaktan kaçınmanıza yardımcı olabilir.
Önem Derecesi: Yüksek
CloudFront dağıtımlarında kaynak erişim kimliği etkinleştirilmelidir
Açıklama: Bu denetim, Amazon S3 Origin türüne sahip bir Amazon CloudFront dağıtımının Kaynak Erişim Kimliği (OAI) yapılandırılmış olup olmadığını denetler. OAI yapılandırılmamışsa denetim başarısız olur. CloudFront OAI, kullanıcıların S3 demeti içeriğine doğrudan erişmesini engeller. Kullanıcılar bir S3 demetine doğrudan eriştiğinde CloudFront dağıtımını ve temel alınan S3 demeti içeriğine uygulanan tüm izinleri etkin bir şekilde atlar.
Önem Derecesi: Orta
CloudTrail günlük dosyası doğrulaması etkinleştirilmelidir
Açıklama: CloudTrail günlüklerinde ek bütünlük denetimi sağlamak için tüm CloudTrail'lerde dosya doğrulamayı etkinleştirmenizi öneririz.
Önem Derecesi: Düşük
CloudTrail etkinleştirilmelidir
Açıklama: AWS CloudTrail, hesabınız için AWS API çağrılarını kaydeden ve günlük dosyalarını size teslim eden bir web hizmetidir. Tüm hizmetler tüm API'ler ve olaylar için varsayılan olarak günlüğe kaydetmeyi etkinleştirmez. CloudTrail dışında tüm ek denetim izlerini uygulamalı ve CloudTrail Desteklenen Hizmetler ve Tümleştirmeler'deki her hizmetin belgelerini gözden geçirmelisiniz.
Önem Derecesi: Yüksek
CloudTrail izleri CloudWatch Günlükleri ile tümleştirilmelidir
Açıklama: CloudTrail günlüklerini uzun vadeli analiz için belirtilen bir S3 demetinde yakalamaya ek olarak, CloudTrail'i CloudWatch Günlüklerine günlük gönderecek şekilde yapılandırarak gerçek zamanlı analiz gerçek zamanlı analiz yapılabilir. Bir hesaptaki tüm bölgelerde etkinleştirilen bir iz için CloudTrail, tüm bu bölgelerdeki günlük dosyalarını CloudWatch Günlükleri günlük grubuna gönderir. AWS hesabı etkinliğinin yakalandığından, izlendiğinden ve uygun şekilde alarma geçirildiğinden emin olmak için CloudTrail günlüklerinin CloudWatch Günlüklerine gönderilmesini öneririz. CloudTrail günlüklerinin CloudWatch Günlüklerine gönderilmesi, kullanıcı, API, kaynak ve IP adresine göre gerçek zamanlı ve geçmiş etkinlik günlüğünü kolaylaştırır ve anormal veya duyarlılık hesabı etkinliği için alarmlar ve bildirimler oluşturma fırsatı sunar.
Önem Derecesi: Düşük
Veritabanı günlüğü etkinleştirilmelidir
Açıklama: Bu denetim, aşağıdaki Amazon RDS günlüklerinin etkinleştirilip etkinleştirilmediğini ve CloudWatch Günlüklerine gönderilip gönderilmediğini denetler:
- Oracle: (Uyarı, Denetim, İzleme, Dinleyici)
- PostgreSQL: (Postgresql, Yükseltme)
- MySQL: (Denetim, Hata, Genel, Yavaş Sorgu)
- MariaDB: (Denetim, Hata, Genel, Yavaş Sorgu)
- SQL Server: (Hata, Aracı)
- Aurora: (Denetim, Hata, Genel, SlowQuery)
- Aurora-MySQL: (Denetim, Hata, Genel, SlowQuery)
- Aurora-PostgreSQL: (Postgresql, Yükseltme). RDS veritabanlarında ilgili günlükler etkinleştirilmelidir. Veritabanı günlüğü, RDS'ye yapılan isteklerin ayrıntılı kayıtlarını sağlar. Veritabanı günlükleri güvenlik ve erişim denetimlerine yardımcı olabilir ve kullanılabilirlik sorunlarını tanılamaya yardımcı olabilir.
Önem Derecesi: Orta
Amazon Sage Maker not defteri örnekleri için doğrudan internet erişimini devre dışı bırakma
Açıklama: Bir Sage Maker not defteri örneği için doğrudan internet erişimi devre dışı bırakılmalıdır. Bu, not defteri örneği için 'DirectInternetAccess' alanının devre dışı bırakılıp bırakılmadığını denetler. Örneğinin bir VPC ile yapılandırılması ve varsayılan ayarın Devre Dışı Bırak - VPC aracılığıyla İnternet'e erişme olması gerekir. Not defterinden modelleri eğitmek veya barındırmak için İnternet erişimini etkinleştirmek için VPC'nizin nat ağ geçidine sahip olduğundan ve güvenlik grubunuzun giden bağlantılara izin verdiğinden emin olun. Sage Maker yapılandırmanıza erişimin yalnızca yetkili kullanıcılarla sınırlı olduğundan emin olun ve kullanıcıların Sage Maker ayarlarını ve kaynaklarını değiştirmek için IAM izinlerini kısıtlayın.
Önem Derecesi: Yüksek
Konsol parolası olan tüm IAM kullanıcıları için ilk kullanıcı kurulumu sırasında erişim anahtarlarını ayarlama
Açıklama: AWS konsolu varsayılan olarak etkin erişim anahtarları oluşturmak için onay kutusunu kullanır. Bu, birçok erişim anahtarının gereksiz yere oluşturulmasına neden olur. Gereksiz kimlik bilgilerine ek olarak, bu anahtarların denetlenip döndürülmesinde de gereksiz yönetim çalışmaları oluşturur. Profili oluşturulduktan sonra kullanıcı tarafından ek adımların atılması gerektiğinde, erişim anahtarlarının çalışması için [a] gerekli olduğu ve erişim anahtarı kuruluşun herhangi bir yerinde kullanımda olabileceği bir hesapta oluşturulduktan sonra [b] erişim anahtarlarının gerekli olduğuna dair daha güçlü bir gösterge sağlanır.
Önem Derecesi: Orta
AWS Desteği ile olayları yönetmek için bir destek rolü oluşturulduğunu emin olun
Açıklama: AWS, olay bildirimi ve yanıtının yanı sıra teknik destek ve müşteri hizmetleri için kullanılabilecek bir destek merkezi sağlar. Yetkili kullanıcıların AWS Desteği ile olayları yönetmesine izin vermek için bir IAM Rolü oluşturun. Erişim denetimi için en az ayrıcalık uyguladığınızda IAM Rolü, AWS Desteği ile Olayları yönetmek için Destek Merkezi Erişimine izin vermek için uygun bir IAM İlkesi gerektirir.
Önem Derecesi: Düşük
Erişim anahtarlarının 90 günde bir veya daha kısa bir sürede döndürüldüğünden emin olun
Açıklama: Erişim anahtarları, AWS'de yaptığınız programlı istekleri imzalamak için kullanılan bir erişim anahtarı kimliği ve gizli erişim anahtarından oluşur. AWS kullanıcıları AWS Komut Satırı Arabirimi (AWS CLI), Windows PowerShell Araçları, AWS SDK'ları veya tek tek AWS hizmetlerinin API'lerini kullanarak HTTP çağrılarını yönlendirmek için kendi erişim anahtarları gerekir. Tüm erişim anahtarlarının düzenli olarak döndürülmüş olması önerilir. Erişim anahtarlarını döndürmek, güvenliği aşılmış veya sonlandırılan bir hesapla ilişkili erişim anahtarının kullanılabilmesi için fırsat penceresini azaltır. Verilere eski bir anahtarla erişilmediğinden emin olmak için erişim anahtarları döndürülmelidir. Bu anahtarlar kaybolmuş, kırılmış veya çalınmış olabilir.
Önem Derecesi: Orta
AWS Yapılandırması'nın tüm bölgelerde etkinleştirildiğinden emin olun
Açıklama: AWS Config, hesabınızda desteklenen AWS kaynaklarının yapılandırma yönetimini gerçekleştiren ve günlük dosyalarını size teslim eden bir web hizmetidir. Kaydedilen bilgiler yapılandırma öğesini (AWS kaynağı), yapılandırma öğeleri arasındaki ilişkileri (AWS kaynakları), kaynaklar arasındaki yapılandırma değişikliklerini içerir. AWS Config'in tüm bölgelerde etkinleştirilmesi önerilir.
AWS Yapılandırması tarafından yakalanan AWS yapılandırma öğesi geçmişi, güvenlik analizi, kaynak değişikliği izleme ve uyumluluk denetimi sağlar.
Önem Derecesi: Orta
CloudTrail'in tüm bölgelerde etkinleştirildiğinden emin olun
Açıklama: AWS CloudTrail, hesabınız için AWS API çağrılarını kaydeden ve günlük dosyalarını size teslim eden bir web hizmetidir. Kaydedilen bilgiler API çağıranın kimliğini, API çağrısının zamanını, API çağıranın kaynak IP adresini, istek parametrelerini ve AWS hizmeti tarafından döndürülen yanıt öğelerini içerir. CloudTrail, Yönetim Konsolu, SDK'lar, komut satırı araçları ve üst düzey AWS hizmetleri (CloudFormation gibi) aracılığıyla yapılan API çağrıları dahil olmak üzere AWS API çağrılarının geçmişini sağlar. CloudTrail tarafından üretilen AWS API çağrı geçmişi, güvenlik analizi, kaynak değişikliği izleme ve uyumluluk denetimi sağlar. Ayrıca:
- Çok bölgeli bir kaydın mevcut olup olmadığını denetlemek, kullanılmayan bölgelerde beklenmeyen etkinliğin algılanmasını sağlar.
- Çok bölgeli bir kaydın mevcut olup olmadığını denetlemek, AWS küresel hizmetlerinde oluşturulan olayların kaydını yakalamak için varsayılan olarak bir iz için "Genel Hizmet Günlüğü" özelliğinin etkinleştirilmesini sağlar.
- Çok bölgeli bir iz için, yönetim olaylarının her tür Okuma/Yazma için yapılandırıldığından emin olmak, AWS hesabındaki tüm kaynaklarda gerçekleştirilen yönetim işlemlerinin kaydedilmesini sağlar.
Önem Derecesi: Yüksek
Kimlik bilgilerinin 90 gün veya daha uzun süre kullanılmadığından emin olun
Açıklama: AWS IAM kullanıcıları, aws kaynaklarına parolalar veya erişim anahtarları gibi farklı kimlik bilgileri kullanarak erişebilir. 90 veya daha fazla gün içinde kullanılmayan tüm kimlik bilgilerinin kaldırılması veya devre dışı bırakılması önerilir. Gereksiz kimlik bilgilerinin devre dışı bırakılması veya kaldırılması, güvenliği aşılmış veya bırakılmış bir hesapla ilişkili kimlik bilgilerinin kullanılabilmesi için fırsat penceresini azaltır.
Önem Derecesi: Orta
IAM parola ilkesinin parolaların süresinin 90 gün veya daha kısa sürede dolduğundan emin olun
Açıklama: IAM parola ilkeleri, parolaların belirli sayıda gün sonra döndürülmelerini veya süresinin dolmalarını gerektirebilir. Parola ilkesinin parolaların süresinin 90 gün veya daha kısa bir süre sonra dolması önerilir. Parola ömrünü azaltmak deneme yanılma girişimine karşı hesap dayanıklılığını artırır. Buna ek olarak, normal parola değişiklikleri gerektirmek aşağıdaki senaryolarda yardımcı olur:
- Parolalar bazen sizin bilginiz olmadan çalınabilir veya tehlikeye girebilir. Bu durum sistem güvenliğinin aşılmasına, yazılım güvenlik açığına veya iç tehditlere neden olabilir.
- Bazı kurumsal ve kamu web filtreleri veya proxy sunucuları, şifrelenmiş olsa bile trafiği kesme ve kaydetme özelliğine sahiptir.
- Birçok kişi iş, e-posta ve kişisel gibi birçok sistem için aynı parolayı kullanır.
- Güvenliği aşılmış son kullanıcı iş istasyonlarında tuş vuruşu günlükçü olabilir.
Önem Derecesi: Düşük
IAM parola ilkesinin parola yeniden kullanılmasını engellediğinden emin olun
Açıklama: IAM parola ilkeleri, belirli bir parolanın aynı kullanıcı tarafından yeniden kullanılmasını engelleyebilir. Parola ilkesinin parolaların yeniden kullanılmasını engellemesi önerilir. Parolanın yeniden kullanılmasını önlemek deneme yanılma oturum açma girişimlerine karşı hesap dayanıklılığını artırır.
Önem Derecesi: Düşük
IAM parola ilkesinin en az bir küçük harf gerektirdiğine emin olun
Açıklama: Parola ilkeleri kısmen parola karmaşıklığı gereksinimlerini zorunlu kılmak için kullanılır. IAM parola ilkeleri, parolanın farklı karakter kümelerinden oluştuğundan emin olmak için kullanılabilir. Parola ilkesinin en az bir küçük harf gerektirmesi önerilir. Parola karmaşıklık ilkesi ayarlamak, deneme yanılma girişimine karşı hesap dayanıklılığını artırır.
Önem Derecesi: Orta
IAM parola ilkesinin en az bir numara gerektirdiğine emin olun
Açıklama: Parola ilkeleri kısmen parola karmaşıklığı gereksinimlerini zorunlu kılmak için kullanılır. IAM parola ilkeleri, parolanın farklı karakter kümelerinden oluştuğundan emin olmak için kullanılabilir. Parola ilkesinin en az bir numara gerektirmesi önerilir. Parola karmaşıklık ilkesi ayarlamak, deneme yanılma girişimine karşı hesap dayanıklılığını artırır.
Önem Derecesi: Orta
IAM parola ilkesinin en az bir simge gerektirdiğine emin olun
Açıklama: Parola ilkeleri kısmen parola karmaşıklığı gereksinimlerini zorunlu kılmak için kullanılır. IAM parola ilkeleri, parolanın farklı karakter kümelerinden oluştuğundan emin olmak için kullanılabilir. Parola ilkesinin en az bir simge gerektirmesi önerilir. Parola karmaşıklık ilkesi ayarlamak, deneme yanılma girişimine karşı hesap dayanıklılığını artırır.
Önem Derecesi: Orta
IAM parola ilkesinin en az bir büyük harf gerektirdiğine emin olun
Açıklama: Parola ilkeleri kısmen parola karmaşıklığı gereksinimlerini zorunlu kılmak için kullanılır. IAM parola ilkeleri, parolanın farklı karakter kümelerinden oluştuğundan emin olmak için kullanılabilir. Parola ilkesinin en az bir büyük harf gerektirmesi önerilir. Parola karmaşıklık ilkesi ayarlamak, deneme yanılma girişimine karşı hesap dayanıklılığını artırır.
Önem Derecesi: Orta
IAM parola ilkesinin en az 14 veya daha uzun bir uzunluk gerektirdiğinden emin olun
Açıklama: Parola ilkeleri kısmen parola karmaşıklığı gereksinimlerini zorunlu kılmak için kullanılır. IAM parola ilkeleri, parolanın en az belirli bir uzunlukta olduğundan emin olmak için kullanılabilir. Parola ilkesinin en az '14' parola uzunluğu gerektirmesi önerilir. Parola karmaşıklık ilkesi ayarlamak, deneme yanılma girişimine karşı hesap dayanıklılığını artırır.
Önem Derecesi: Orta
Konsol parolası olan tüm IAM kullanıcıları için çok faktörlü kimlik doğrulamasının (MFA) etkinleştirildiğinden emin olun
Açıklama: Çok Faktörlü Kimlik Doğrulaması (MFA), kullanıcı adı ve parolanın üzerine ek bir koruma katmanı ekler. MFA etkinleştirildiğinde, bir kullanıcı bir AWS web sitesinde oturum açtığında, kullanıcı adı ve parolasının yanı sıra AWS MFA cihazından kimlik doğrulama kodu istenir. Konsol parolası olan tüm hesaplar için MFA'nın etkinleştirilmesi önerilir. MFA'nın etkinleştirilmesi, kimlik doğrulama sorumlusunun zamana duyarlı bir anahtar yayan ve kimlik bilgisi bilgisi olan bir cihaza sahip olmasını gerektirdiğinden konsol erişimi için daha fazla güvenlik sağlar.
Önem Derecesi: Orta
GuardDuty etkinleştirilmelidir
Açıklama: İzinsiz girişlere karşı ek koruma sağlamak için AWS hesabınızda ve bölgenizde GuardDuty etkinleştirilmelidir.
GuardDuty her ortam için eksiksiz bir çözüm olmayabilir.
Önem Derecesi: Orta
"Kök" hesap için donanım MFA'sı etkinleştirilmelidir
Açıklama: Kök hesap, bir hesaptaki en ayrıcalıklı kullanıcıdır. MFA, kullanıcı adı ve parolanın üzerine ek bir koruma katmanı ekler. MFA etkinleştirildiğinde, bir kullanıcı aws web sitesinde oturum açtığında, aws MFA cihazından kullanıcı adı ve parolası ve kimlik doğrulama kodu istenir. Düzey 2 için, kök hesabı bir donanım MFA'sı ile korumanız önerilir. Donanım MFA'sı, sanal MFA'dan daha küçük bir saldırı yüzeyine sahiptir. Örneğin, bir donanım MFA'sı, sanal bir MFA'nın bulunduğu mobil akıllı telefon tarafından sunulan saldırı yüzeyinden etkilenmez. MFA için birçok hesap için donanım kullandığınızda, bu işlem lojistik cihaz yönetimi sorunu oluşturabilir. Bu durumda, bu Düzey 2 önerisini en yüksek güvenlik hesaplarına seçmeli olarak uygulamayı göz önünde bulundurun. Ardından Düzey 1 önerisini kalan hesaplara uygulayabilirsiniz.
Önem Derecesi: Düşük
RDS kümeleri için IAM kimlik doğrulaması yapılandırılmalıdır
Açıklama: Bu denetim, bir RDS DB kümesinde IAM veritabanı kimlik doğrulamasının etkinleştirilip etkinleştirilmediğini denetler. IAM veritabanı kimlik doğrulaması, veritabanı örneklerinde parolasız kimlik doğrulamasına olanak tanır. Kimlik doğrulaması bir kimlik doğrulama belirteci kullanır. Veritabanından gelen ve veritabanından gelen ağ trafiği SSL kullanılarak şifrelenir. Daha fazla bilgi için bkz. Amazon Aurora Kullanıcı Kılavuzu'nda IAM veritabanı kimlik doğrulaması.
Önem Derecesi: Orta
RDS örnekleri için IAM kimlik doğrulaması yapılandırılmalıdır
Açıklama: Bu denetim, bir RDS DB örneğinde IAM veritabanı kimlik doğrulamasının etkinleştirilip etkinleştirilmediğini denetler. IAM veritabanı kimlik doğrulaması, veritabanı örneklerine parola yerine kimlik doğrulama belirteci ile kimlik doğrulaması sağlar. Veritabanından gelen ve veritabanından gelen ağ trafiği SSL kullanılarak şifrelenir. Daha fazla bilgi için bkz. Amazon Aurora Kullanıcı Kılavuzu'nda IAM veritabanı kimlik doğrulaması.
Önem Derecesi: Orta
IAM müşteri tarafından yönetilen ilkeler tüm KMS anahtarlarında şifre çözme eylemlerine izin vermemelidir
Açıklama: IAM müşteri tarafından yönetilen ilkelerin varsayılan sürümünün sorumluların tüm kaynaklarda AWS KMS şifre çözme eylemlerini kullanmasına izin verip vermediğini denetler. Bu denetim, AWS hesapları genelinde gizli dizilerinize geniş erişim izni verebilen ilkeleri doğrulamak ve sizi uyarmak için otomatik bir akıl yürütme altyapısı olan Zelkova'yı kullanır. Tüm KMS anahtarlarında "kms: Decrypt" veya "kms: ReEncryptFrom" eylemlerine izin verilirse bu denetim başarısız olur. Denetim hem ekli hem de eklenmemiş müşteri tarafından yönetilen ilkeleri değerlendirir. Satır içi ilkeleri veya AWS yönetilen ilkelerini denetlemez. AWS KMS ile KMS anahtarlarınızı kimlerin kullanabileceğini denetler ve şifrelenmiş verilerinize erişim elde edebilirsiniz. IAM ilkeleri, bir kimliğin (kullanıcı, grup veya rol) hangi kaynaklarda hangi eylemleri gerçekleştirebileceğini tanımlar. En iyi güvenlik uygulamalarını takip eden AWS, en az ayrıcalıklara izin vermenizi önerir. Başka bir deyişle, kimliklere yalnızca "kms:Decrypt" veya "kms:ReEncryptFrom" izinlerini ve yalnızca bir görevi gerçekleştirmek için gereken anahtarları vermelisiniz. Aksi takdirde, kullanıcı verileriniz için uygun olmayan anahtarları kullanabilir. Tüm anahtarlar için izin vermek yerine, kullanıcıların şifrelenmiş verilere erişmesi için gereken en düşük anahtar kümesini belirleyin. Ardından, kullanıcıların yalnızca bu anahtarları kullanmasına olanak sağlayan ilkeler tasarlayın. Örneğin, tüm KMS anahtarlarında "kms: Decrypt" iznine izin verme. Bunun yerine, yalnızca hesabınız için belirli bir Bölgedeki anahtarlarda "kms: Decrypt" seçeneğine izin verin. En az ayrıcalık ilkesini benimseyerek, verilerinizin istenmeyen şekilde açıklanma riskini azaltabilirsiniz.
Önem Derecesi: Orta
Oluşturduğunuz IAM müşteri tarafından yönetilen ilkeler, hizmetler için joker karakter eylemlerine izin vermemelidir
Açıklama: Bu denetim, oluşturduğunuz IAM kimlik tabanlı ilkelerin herhangi bir hizmet üzerindeki tüm eylemler için izin vermek üzere * joker karakteri kullanan allow deyimlerine sahip olup olmadığını denetler. Herhangi bir ilke deyimi 'Effect': 'Allow' with 'Action': 'Service:*' içeriyorsa denetim başarısız olur. Örneğin, bir ilkedeki aşağıdaki deyim başarısız bulmayla sonuçlanıyor.
'Statement': [
{
'Sid': 'EC2-Wildcard',
'Effect': 'Allow',
'Action': 'ec2:*',
'Resource': '*'
}
'Efekt': 'NotAction' ile 'İzin Ver': 'service:' kullanırsanız da denetim başarısız olur. Bu durumda NotAction öğesi, NotAction'da belirtilen eylemler dışında bir AWS hizmetindeki tüm eylemlere erişim sağlar. Bu denetim yalnızca müşteri tarafından yönetilen IAM ilkeleri için geçerlidir. AWS tarafından yönetilen IAM ilkeleri için geçerli değildir. AWS hizmetlerine izin atadığınızda, IAM ilkelerinizde izin verilen IAM eylemlerini kapsamanız önemlidir. IAM eylemlerini yalnızca gerekli eylemlerle kısıtlamanız gerekir. Bu, en az ayrıcalık izinleri sağlamanıza yardımcı olur. fazla izin veren ilkeler, ilkeler izne gerek duymayabilecek bir IAM sorumlusuna bağlıysa ayrıcalık yükseltmesine neden olabilir. Bazı durumlarda, DescribeFlowLogs ve DescribeAvailabilityZones gibi benzer ön eke sahip IAM eylemlerine izin vermek isteyebilirsiniz. Bu yetkili durumlarda, ortak ön eke son ekli joker karakter ekleyebilirsiniz. Örneğin, ec2:Describe.
Sonekli joker karakterle ön ekli bir IAM eylemi kullanırsanız bu denetim geçer. Örneğin, bir ilkedeki aşağıdaki deyim geçirilen bir bulguyla sonuçlanıyor.
'Statement': [
{
'Sid': 'EC2-Wildcard',
'Effect': 'Allow',
'Action': 'ec2:Describe*',
'Resource': '*'
}
İlgili IAM eylemlerini bu şekilde gruplandırdığınızda, IAM ilke boyutu sınırlarını aşmaktan da kaçınabilirsiniz.
Önem Derecesi: Düşük
IAM ilkeleri yalnızca gruplara veya rollere eklenmelidir
Açıklama: Varsayılan olarak IAM kullanıcılarının, gruplarının ve rollerinin AWS kaynaklarına erişimi yoktur. IAM ilkeleri, kullanıcılara, gruplara veya rollere ayrıcalıkların verildiği araçlardır. IAM ilkelerinin kullanıcılara değil, gruplara ve rollere doğrudan uygulanması önerilir. Grup veya rol düzeyinde ayrıcalık atamak, kullanıcı sayısı arttıkça erişim yönetiminin karmaşıklığını azaltır. Erişim yönetimi karmaşıklığını azaltmak, bir sorumluya yanlışlıkla aşırı ayrıcalıkları alma veya koruma fırsatı da azaltabilir.
Önem Derecesi: Düşük
Tam ":" yönetim ayrıcalıklarına izin veren IAM ilkeleri oluşturulmamalıdır
Açıklama: IAM ilkeleri, kullanıcılara, gruplara veya rollere ayrıcalıkların verildiği araçlardır. Yalnızca bir görevi gerçekleştirmek için gereken izinleri vermek için en az ayrıcalık verilmesi önerilir ve standart bir güvenlik önerisi olarak kabul edilir. Kullanıcıların ne yapması gerektiğini belirleyin ve sonra tam yönetim ayrıcalıklarına izin vermek yerine kullanıcıların yalnızca bu görevleri gerçekleştirmesine izin veren ilkeler oluşturun. En düşük izin kümesiyle başlayıp, çok müsamaha gösteren izinlerle başlayıp daha sonra sıkılaştırmaya çalışmak yerine, gerektiğinde ek izinler vermek daha güvenlidir. Kullanıcının yapması gereken en düşük izin kümesiyle kısıtlamak yerine tam yönetim ayrıcalıkları sağlamak, kaynakları istenmeyebilecek eylemlere maruz bırakır. "Effect": "Allow" ve "Action": "" over "Resource": "" deyimine sahip IAM ilkeleri kaldırılmalıdır.
Önem Derecesi: Yüksek
IAM sorumluları, tüm KMS anahtarlarında şifre çözme eylemlerine izin veren IAM satır içi ilkelerine sahip olmamalıdır
Açıklama: IAM kimliklerinize (rol, kullanıcı veya grup) eklenmiş satır içi ilkelerin tüm KMS anahtarlarında AWS KMS şifre çözme eylemlerine izin verip vermediğini denetler. Bu denetim, AWS hesapları genelinde gizli dizilerinize geniş erişim izni verebilen ilkeleri doğrulamak ve sizi uyarmak için otomatik bir akıl yürütme altyapısı olan Zelkova'yı kullanır.
Satır içi ilkedeki tüm KMS anahtarlarında veya kms:ReEncryptFrom eylemlerine izin veriliyorsa kms:Decrypt bu denetim başarısız olur.
AWS KMS ile KMS anahtarlarınızı kimlerin kullanabileceğini denetler ve şifrelenmiş verilerinize erişim elde edebilirsiniz. IAM ilkeleri, bir kimliğin (kullanıcı, grup veya rol) hangi kaynaklarda hangi eylemleri gerçekleştirebileceğini tanımlar. En iyi güvenlik uygulamalarını takip eden AWS, en az ayrıcalıklara izin vermenizi önerir. Başka bir deyişle, kimliklere yalnızca ihtiyaç duydukları izinleri ve yalnızca bir görevi gerçekleştirmek için gereken anahtarları vermelisiniz. Aksi takdirde, kullanıcı verileriniz için uygun olmayan anahtarları kullanabilir.
Tüm anahtarlar için izin vermek yerine, kullanıcıların şifrelenmiş verilere erişmesi için gereken en düşük anahtar kümesini belirleyin. Ardından, kullanıcıların yalnızca bu anahtarları kullanmasına olanak sağlayan ilkeler tasarlayın. Örneğin, tüm KMS anahtarlarında izin verme kms:Decrypt . Bunun yerine, yalnızca hesabınız için belirli bir Bölgedeki anahtarlarda bu anahtarlara izin verin. En az ayrıcalık ilkesini benimseyerek, verilerinizin istenmeyen şekilde açıklanma riskini azaltabilirsiniz.
Önem Derecesi: Orta
Lambda işlevleri genel erişimi kısıtlamalıdır
Açıklama: Lambda işlevi kaynak tabanlı ilke genel erişimi kısıtlamalıdır. Bu öneri, iç sorumluların erişimini denetlemez. İşleve erişimin yalnızca en az ayrıcalıklı kaynak tabanlı ilkeler kullanılarak yetkili sorumlularla kısıtlandığından emin olun.
Önem Derecesi: Yüksek
MFA tüm IAM kullanıcıları için etkinleştirilmelidir
Açıklama: Tüm IAM kullanıcılarının çok faktörlü kimlik doğrulaması (MFA) etkinleştirilmelidir.
Önem Derecesi: Orta
"Kök" hesap için MFA etkinleştirilmelidir
Açıklama: Kök hesap, bir hesaptaki en ayrıcalıklı kullanıcıdır. MFA, kullanıcı adı ve parolanın üzerine ek bir koruma katmanı ekler. MFA etkinleştirildiğinde, bir kullanıcı aws web sitesinde oturum açtığında, aws MFA cihazından kullanıcı adı ve parolası ve kimlik doğrulama kodu istenir. Kök hesaplar için sanal MFA kullandığınızda, kullanılan cihazın kişisel bir cihaz olmadığı önerilir. Bunun yerine, tek tek kişisel cihazlardan bağımsız olarak ücretlendirilip güvenliğini sağlamak için yönettiğiniz ayrılmış bir mobil cihaz (tablet veya telefon) kullanın. Bu, cihaz kaybı, cihaz takası veya cihaza sahip olan kişinin artık şirkette çalışmamış olması nedeniyle MFA'ya erişimi kaybetme riskini azaltıyor.
Önem Derecesi: Düşük
IAM kullanıcıları için parola ilkelerinin güçlü yapılandırmaları olmalıdır
Açıklama: IAM kullanıcıları için hesap parolası ilkesinin aşağıdaki en düşük yapılandırmaları kullanıp kullanmadığını denetler.
- RequireUppercaseCharacters- Parolada en az bir büyük harf karakteri iste. (Varsayılan = true)
- RequireLowercaseCharacters- Parolada en az bir küçük harf karakteri iste. (Varsayılan = true)
- RequireNumbers- Parolada en az bir sayı iste. (Varsayılan = true)
- MinimumPasswordLength- Parola minimum uzunluğu. (Varsayılan = 7 veya daha uzun)
- PasswordReusePrevention- Yeniden kullanıma izin vermeden önce parola sayısı. (Varsayılan = 4)
- MaxPasswordAge- Parola süresinin dolmasından önceki gün sayısı. (Varsayılan = 90)
Önem Derecesi: Orta
AWS hesabınızdaki etkin olmayan kimliklerin izinleri iptal edilmelidir
Açıklama: Bulut için Microsoft Defender son 45 gün içinde AWS hesabınızdaki herhangi bir kaynak üzerinde herhangi bir işlem gerçekleştirmeyen bir kimlik keşfetti. Bulut ortamınızın saldırı yüzeyini azaltmak için etkin olmayan kimliklerin izinlerini iptal etmek önerilir.
Önem Derecesi: Orta
Kök hesap erişim anahtarı mevcut olmamalıdır
Açıklama: Kök hesap, AWS hesabındaki en ayrıcalıklı kullanıcıdır. AWS Erişim Anahtarları, belirli bir AWS hesabına programlı erişim sağlar. Kök hesapla ilişkili tüm erişim anahtarlarının kaldırılması önerilir. Kök hesapla ilişkili erişim anahtarlarının kaldırılması, hesabın gizliliğinin tehlikeye atılabildiği vektörleri sınırlar. Ayrıca, kök erişim anahtarlarının kaldırılması, en az ayrıcalıklı rol tabanlı hesapların oluşturulmasını ve kullanılmasını teşvik eder.
Önem Derecesi: Yüksek
S3 Genel Erişimi Engelle ayarı etkinleştirilmelidir
Açıklama: S3 demetiniz için Genel Erişimi Engelle ayarını etkinleştirmek, hassas veri sızıntılarını önlemeye ve demetinizi kötü amaçlı eylemlerden korumaya yardımcı olabilir.
Önem Derecesi: Orta
S3 Genel Erişimi Engelle ayarı demet düzeyinde etkinleştirilmelidir
Açıklama: Bu denetim, S3 demetlerinin demet düzeyinde genel erişim bloklarının uygulanıp uygulanmadığını denetler. Aşağıdaki ayarlardan herhangi biri false olarak ayarlanırsa bu denetim başarısız olur:
- ignorePublicAcls
- blockPublicPolicy
- blockPublicAcls
- restrictPublicBuckets S3 demet düzeyinde Genel Erişimi Engelle, nesnelerin hiçbir zaman genel erişime sahip olmamasını sağlamak için denetimler sağlar. Erişim denetim listeleri (ACL'ler), demet ilkeleri veya her ikisi aracılığıyla demetlere ve nesnelere genel erişim verilir. S3 demetlerinize genel erişim sağlamayı düşünmüyorsanız, demet düzeyinde Amazon S3 Genel Erişimi Engelle özelliğini yapılandırmanız gerekir.
Önem Derecesi: Yüksek
S3 demetleri genel okuma erişimi kaldırılmalıdır
Açıklama: S3 demetinize genel okuma erişimini kaldırmak verilerinizi korumaya ve veri ihlalini önlemeye yardımcı olabilir.
Önem Derecesi: Yüksek
S3 demetleri genel yazma erişimi kaldırılmalıdır
Açıklama: S3 demetinize genel yazma erişimine izin vermek, verilerinizi sizin masrafınıza göre depolama, dosyalarınızı fidye için şifreleme veya demetinizi kötü amaçlı yazılım çalıştırmak için kullanma gibi kötü amaçlı eylemlere karşı savunmasız bırakmanızı sağlayabilir.
Önem Derecesi: Yüksek
Gizli Dizi Yöneticisi gizli dizilerinin otomatik döndürme özelliği etkinleştirilmelidir
Açıklama: Bu denetim, AWS Secrets Manager'da depolanan bir gizli dizinin otomatik döndürme ile yapılandırılıp yapılandırılmadığını denetler. Gizli Dizi Yöneticisi, kuruluşunuzun güvenlik duruşunu geliştirmenize yardımcı olur. Gizli diziler veritabanı kimlik bilgilerini, parolaları ve üçüncü taraf API anahtarlarını içerir. Gizli dizileri merkezi olarak depolamak, gizli dizileri otomatik olarak şifrelemek, gizli dizilere erişimi denetlemek ve gizli dizileri güvenli ve otomatik olarak döndürmek için Gizli DiziLer Yöneticisi'ni kullanabilirsiniz. Gizli Dizi Yöneticisi gizli dizileri döndürebilir. Uzun vadeli gizli dizileri kısa vadeli gizli dizilerle değiştirmek için döndürmeyi kullanabilirsiniz. Gizli dizilerinizi döndürmek, yetkisiz bir kullanıcının gizliliği tehlikeye girmiş bir gizli diziyi ne kadar süre kullanabileceğini sınırlar. Bu nedenle gizli dizilerinizi sık sık döndürmeniz gerekir. Döndürme hakkında daha fazla bilgi edinmek için AWS Secrets Manager Kullanıcı Kılavuzu'nda AWS Secrets Manager gizli dizilerinizi döndürme bölümüne bakın.
Önem Derecesi: Orta
Durdurulan EC2 örnekleri belirtilen süre sonunda kaldırılmalıdır
Açıklama: Bu denetim herhangi bir EC2 örneğinin izin verilen gün sayısından fazla süreyle durdurulup durdurulmadığını denetler. Ec2 örneği, varsayılan olarak 30 gün olan izin verilen en uzun süre boyunca durdurulup durdurulmadığını denetlemede başarısız olur. Başarısız bir bulgu, bir EC2 örneğinin önemli bir süre boyunca çalışmadığını gösterir. EC2 örneği etkin bir şekilde korunmadığından (analiz edildi, düzeltme eki uygulandı, güncelleştirildi) bu bir güvenlik riski oluşturur. Daha sonra başlatılırsa, uygun bakım olmaması AWS ortamınızda beklenmeyen sorunlara neden olabilir. Ec2 örneğini zaman içinde çalıştırılmayan bir durumda güvenli bir şekilde korumak için, bakım için düzenli aralıklarla başlatın ve bakımdan sonra durdurun. İdeal olan bu otomatik bir işlemdir.
Önem Derecesi: Orta
AWS ortamınızda kullanılmayan kimlikler kaldırılmalıdır (Önizleme)
Açıklama: Etkin olmayan kimlikler, son 90 gün içinde herhangi bir kaynak üzerinde herhangi bir eylem gerçekleştirmemiş insan ve insan olmayan varlıklardır. AWS hesabınızda yüksek riskli izinlere sahip etkin olmayan IAM kimlikleri olduğu gibi bırakılırsa saldırılara açık olabilir ve kuruluşları kimlik bilgilerinin kötüye kullanılmasına veya kötüye kullanılmasına açık bırakabilir. Kullanılmayan kimlikleri proaktif olarak algılamak ve yanıtlamak, yetkisiz varlıkların AWS kaynaklarınıza erişmesini önlemenize yardımcı olur.
Önem Derecesi: Orta
GCP kimlik ve erişim önerileri
Şifreleme anahtarlarının üçten fazla kullanıcısı olmamalıdır
Açıklama: Bu öneri, anahtar halkaları için IAM ilkelerini değerlendirir, projeleri ve kuruluşları alır ve Bulut KMS anahtarlarını kullanarak verileri şifrelemelerine, şifrelerini çözmelerine veya imzalamalarına olanak sağlayan rollere sahip sorumluları alır: roller/sahip, roller/cloudkms.cryptoKeyEncrypterDecrypter, roles/cloudkms.cryptoKeyEncrypter, roles/cloudkms.cryptoKeyDecrypter, roles/cloudkms.signer ve roles/cloudkms.signerVerifier.
Önem Derecesi: Orta
Proje için API anahtarlarının oluşturulmadığından emin olun
Açıklama: Anahtarlar, tarayıcı içinden genel olarak görüntülenebildiği veya anahtarın bulunduğu bir cihazda erişilebildiği için güvenli değildir. Bunun yerine standart kimlik doğrulama akışının kullanılması önerilir.
API Anahtarlarının kullanımıyla ilgili güvenlik riskleri aşağıda görünür:
- API anahtarları basit şifrelenmiş dizelerdir
- API anahtarları, API isteğinde bulunan kullanıcıyı veya uygulamayı tanımlamaz
- API anahtarları genellikle istemcilerin erişimine açık olduğundan, API anahtarını bulmayı ve çalmayı kolaylaştırır
API anahtarlarını kullanırken güvenlik riskini önlemek için bunun yerine standart kimlik doğrulama akışının kullanılması önerilir.
Önem Derecesi: Yüksek
API anahtarlarının yalnızca uygulamanın erişmesi gereken API'ler ile sınırlı olduğundan emin olun
Açıklama: API anahtarları güvenli değildir, çünkü bunlar bir tarayıcı içinden genel olarak görüntülenebilir veya anahtarın bulunduğu bir cihazda erişilebilir. API anahtarlarının yalnızca bir uygulama için gereken API'leri kullanacak (çağıracak) şekilde kısıtlanması önerilir.
API Anahtarlarının kullanımıyla ilgili güvenlik riskleri aşağıda verilmişti:
- API anahtarları basit şifrelenmiş dizelerdir
- API anahtarları, API isteğinde bulunan kullanıcıyı veya uygulamayı tanımlamaz
- API anahtarları genellikle istemcilerin erişimine açık olduğundan, API anahtarını bulmayı ve çalmayı kolaylaştırır
Bu olası riskler ışığında Google, API Anahtarları yerine standart kimlik doğrulama akışının kullanılmasını önerir. Ancak, API anahtarlarının daha uygun olduğu sınırlı durumlar vardır. Örneğin, Google Bulut Çevirisi API'sini kullanması gereken ancak arka uç sunucusuna ihtiyaç duymayan bir mobil uygulama varsa, API anahtarları bu API'de kimlik doğrulaması yapmanın en kolay yoludur.
En az ayrıcalık sağlayarak saldırı yüzeylerini azaltmak için API Anahtarları yalnızca bir uygulamanın gerektirdiği API'leri kullanmak (çağırmak) ile sınırlandırılabilir.
Önem Derecesi: Yüksek
API anahtarlarının yalnızca belirtilen Konaklar ve Uygulamalar tarafından kullanılmak üzere kısıtlandığından emin olun
Açıklama: Kısıtlanmamış anahtarlar, tarayıcı içinden genel olarak görüntülenebildiği veya anahtarın bulunduğu bir cihazda erişilebildiği için güvenli değildir. API anahtarı kullanımını güvenilen konaklar, HTTP başvuranları ve uygulamalarla kısıtlamanız önerilir.
API Anahtarlarının kullanımıyla ilgili güvenlik riskleri aşağıda görünür:
- API anahtarları basit şifrelenmiş dizelerdir
- API anahtarları, API isteğinde bulunan kullanıcıyı veya uygulamayı tanımlamaz
- API anahtarları genellikle istemcilerin erişimine açık olduğundan, API anahtarını bulmayı ve çalmayı kolaylaştırır
Bu olası riskler ışığında Google, API anahtarları yerine standart kimlik doğrulama akışının kullanılmasını önerir. Ancak, API anahtarlarının daha uygun olduğu sınırlı durumlar vardır. Örneğin, Google Bulut Çevirisi API'sini kullanması gereken ancak arka uç sunucusuna ihtiyaç duymayan bir mobil uygulama varsa, API anahtarları bu API'de kimlik doğrulaması yapmanın en kolay yoludur.
Saldırı vektörlerini azaltmak için API Anahtarları yalnızca güvenilen konaklar, HTTP başvuranları ve uygulamalarla kısıtlanabilir.
Önem Derecesi: Yüksek
API anahtarlarının 90 günde bir döndürüldüğünden emin olun
Açıklama: API anahtarlarını 90 günde bir döndürmek önerilir.
API Anahtarlarının kullanımıyla ilgili güvenlik riskleri aşağıda listelenmiştir:
- API anahtarları basit şifrelenmiş dizelerdir
- API anahtarları, API isteğinde bulunan kullanıcıyı veya uygulamayı tanımlamaz
- API anahtarları genellikle istemcilerin erişimine açık olduğundan, API anahtarını bulmayı ve çalmayı kolaylaştırır
Bu olası riskler nedeniyle Google, API Anahtarları yerine standart kimlik doğrulama akışının kullanılmasını önerir. Ancak, API anahtarlarının daha uygun olduğu sınırlı durumlar vardır. Örneğin, Google Bulut Çevirisi API'sini kullanması gereken ancak arka uç sunucusuna ihtiyaç duymayan bir mobil uygulama varsa, API anahtarları bu API'de kimlik doğrulaması yapmanın en kolay yoludur.
Bir anahtar çalındıktan sonra süresi dolmaz, yani proje sahibi anahtarı iptal etmediği veya yeniden oluşturmadığı sürece süresiz olarak kullanılabilir. API anahtarlarını döndürmek, güvenliği aşılmış veya sonlandırılan bir hesapla ilişkilendirilmiş bir erişim anahtarının kullanılmasına yönelik fırsat penceresini azaltır.
Api anahtarları, verilere kaybolmuş, kırılmış veya çalınmış eski bir anahtarla erişilemediğinden emin olmak için döndürülmelidir.
Önem Derecesi: Yüksek
KMS şifreleme anahtarlarının 90 gün içinde döndürüldüğünden emin olun
Açıklama: Google Cloud Anahtar Yönetim Merkezi, şifreleme anahtarlarını kullanışlı ve zarif erişim denetimi yönetimi için tasarlanmış hiyerarşik bir yapıda depolar. Döndürme zamanlamasının biçimi, kullanılan istemci kitaplığına bağlıdır. Gcloud komut satırı aracı için bir sonraki döndürme süresi "ISO" veya "RFC3339" biçiminde olmalı ve döndürme süresi "INTEGER[UNIT]" biçiminde olmalıdır; burada birimler saniyelerden (s), dakikalardan (m), saatlerden (h) veya günlerden (d) biri olabilir. Bir anahtar döndürme süresi ve başlangıç saati ayarlayın. Yeni anahtar sürümlerinin otomatik olarak oluşturulması arasındaki süre olan belirtilen "döndürme süresi" ile bir anahtar oluşturulabilir. Belirtilen bir sonraki döndürme zamanıyla bir anahtar da oluşturulabilir. Anahtar, belirli bir amaç için kullanılan "şifreleme anahtarını" temsil eden adlandırılmış bir nesnedir. "Şifreleme" için kullanılan gerçek bitler olan anahtar malzeme, yeni anahtar sürümleri oluşturulduktan sonra zaman içinde değişebilir. Anahtar, bazı "veri korpuslarını" korumak için kullanılır. Bir dosya koleksiyonu aynı anahtarla şifrelenebilir ve bu anahtar üzerinde "şifre çözme" izinleri olan kişiler bu dosyaların şifresini çözebilir. Bu nedenle, "döndürme süresinin" belirli bir zamana ayarlandığından emin olmak gerekir.
Önem Derecesi: Orta
Proje sahipliği atamaları/değişiklikleri için günlük ölçümü filtresinin ve uyarıların mevcut olduğundan emin olun
Açıklama: Kullanıcılara/hizmet hesaplarına gereksiz proje sahipliği atamalarını ve projelerin ve kaynakların daha fazla kötüye kullanılmasını önlemek için tüm "roller/Sahip" atamaları izlenmelidir. "roller/Sahip" ilkel rolüne rol ataması olan üyeler (kullanıcılar/Hizmet-Hesaplar) proje sahipleridir. Proje sahibi, rolün ait olduğu projedeki tüm ayrıcalıklara sahiptir. Bunlar aşağıda özetlenmiştir:
- Projedeki tüm GCP Hizmetlerindeki tüm görüntüleyici izinleri
- Proje içindeki tüm GCP hizmetlerinin durumunu değiştiren eylemler için izinler
- Bir projenin ve proje içindeki tüm kaynakların rollerini ve izinlerini yönetme
- Proje için faturalamayı ayarlama Bir üyeye (kullanıcı/Hizmet-Hesap) sahip rolü vermek, bu üyenin Kimlik ve Erişim Yönetimi (IAM) ilkesini değiştirmesine izin verir. Bu nedenle, sahip rolüne yalnızca üyenin IAM ilkesini yönetmek için meşru bir amacı varsa verin. Bunun nedeni, proje IAM ilkesinin hassas erişim denetimi verileri içermesidir. En az sayıda kullanıcının IAM ilkesini yönetmesine izin vermek, gerekli olabilecek tüm denetimleri basitleştirir. Proje sahipliği, bir projede en yüksek ayrıcalık düzeyine sahiptir. Proje kaynaklarının kötüye kullanılmasını önlemek için, yukarıda belirtilen proje sahipliği ataması/değişiklik eylemleri izlenmeli ve ilgili alıcılara uyarılmalıdır.
- Proje sahipliği davetleri gönderme
- Kullanıcı tarafından proje sahipliği davetinin kabulü/reddedilmesi
- Kullanıcı/hizmet hesabına ekleme
role\Owner - Kullanıcı/Hizmet hesabını kaldırma
role\Owner
Önem Derecesi: Düşük
Oslogin'in bir Proje için etkinleştirildiğinden emin olun
Açıklama: İşletim sistemi oturum açma özelliğinin etkinleştirilmesi, SSH sertifikalarını IAM kullanıcılarına bağlar ve etkili SSH sertifika yönetimini kolaylaştırır. osLogin'in etkinleştirilmesi, örneklere bağlanmak için kullanılan SSH anahtarlarının IAM kullanıcılarıyla eşlendiğinden emin olur. IAM kullanıcısına erişimi iptal etmek, söz konusu kullanıcıyla ilişkili tüm SSH anahtarlarını iptal eder. Güvenliği aşılmış SSH anahtar çiftlerine yanıt verme ve/veya dış/üçüncü taraf/Satıcı kullanıcılarının iptal edilmesi gibi durumları işlemede yararlı olan merkezi ve otomatik SSH anahtar çifti yönetimini kolaylaştırır. Projenin iyi durumda olmamasının hangi örneğin neden olduğunu öğrenmek için "Oslogin'in tüm örnekler için etkinleştirildiğinden emin olun" önerisine bakın.
Önem Derecesi: Orta
Oslogin'in tüm örnekler için etkinleştirildiğinden emin olun
Açıklama: İşletim sistemi oturum açma özelliğinin etkinleştirilmesi, SSH sertifikalarını IAM kullanıcılarına bağlar ve etkili SSH sertifika yönetimini kolaylaştırır. osLogin'in etkinleştirilmesi, örneklere bağlanmak için kullanılan SSH anahtarlarının IAM kullanıcılarıyla eşlendiğinden emin olur. IAM kullanıcısına erişimi iptal etmek, söz konusu kullanıcıyla ilişkili tüm SSH anahtarlarını iptal eder. Güvenliği aşılmış SSH anahtar çiftlerine yanıt verme ve/veya dış/üçüncü taraf/Satıcı kullanıcılarının iptal edilmesi gibi durumları işlemede yararlı olan merkezi ve otomatik SSH anahtar çifti yönetimini kolaylaştırır.
Önem Derecesi: Orta
Bulut Denetim Günlüğü'ne bir projeden tüm hizmetler ve tüm kullanıcılar arasında düzgün yapılandırıldığından emin olun
Açıklama: Bulut Denetim Günlüğü'nin tüm yönetici etkinliklerini izlemek ve kullanıcı verilerine okuma, yazma erişimi sağlamak üzere yapılandırılması önerilir.
Bulut Denetim Günlüğü her proje, klasör ve kuruluş için iki denetim günlüğü tutar: Yönetici Etkinliği ve Veri Erişimi.
- Yönetici Etkinliği günlükleri, API çağrıları için günlük girdileri veya kaynakların yapılandırmasını veya meta verilerini değiştiren diğer yönetim eylemlerini içerir.
- Yönetici Etkinliği denetim günlükleri tüm hizmetler için etkinleştirilir ve yapılandırılamaz.
- Veri Erişimi denetim günlükleri, kullanıcı tarafından sağlanan verileri oluşturan, değiştiren veya okuyan API çağrılarını kaydeder. Bunlar varsayılan olarak devre dışıdır ve etkinleştirilmelidir.
Üç tür Veri Erişimi denetim günlüğü bilgisi vardır:
- Yönetici okuma: Meta verileri veya yapılandırma bilgilerini okuyan işlemleri kaydeder. Yönetici Etkinliği denetim günlükleri, devre dışı bırakılabilen meta verilerin ve yapılandırma bilgilerinin yazmalarını kaydeder.
- Veri okuma: Kullanıcı tarafından sağlanan verileri okuyan işlemleri kaydeder.
- Veri yazma: Kullanıcı tarafından sağlanan verileri yazan işlemleri kaydeder.
Etkin bir varsayılan denetim yapılandırmasının aşağıdaki şekilde yapılandırılması önerilir:
- Günlük türü DATA_READ (kullanıcı etkinliği izlemesini günlüğe kaydetmek için) ve DATA_WRITES (değişiklikleri günlüğe kaydetmek/kullanıcı verilerine değişiklik yapmak için) olarak ayarlanır.
- Denetim yapılandırması, Veri Erişimi denetim günlükleri özelliği tarafından desteklenen tüm hizmetler için etkinleştirilir.
- Günlükler tüm kullanıcılar için yakalanmalıdır, yani denetim yapılandırması bölümlerinden hiçbirinde muaf tutulan kullanıcı yoktur. Bu, denetim yapılandırmasının geçersiz kılınmasının gereksinimle çelişmemesini sağlar.
Önem Derecesi: Orta
Bulut KMS şifreleme anahtarlarının anonim olarak veya genel olarak erişilebilir olmadığından emin olun
Açıklama: Bulut KMS şifreleme anahtarlarında IAM ilkesinin anonim ve/veya genel erişimi kısıtlaması önerilir. "allUsers" veya "allAuthenticatedUsers" izinlerinin verilmesi, herkesin veri kümesine erişmesine olanak tanır. Hassas veriler konumda depolanıyorsa bu tür bir erişim istenmeyebilir. Bu durumda, Bulut KMS şifreleme anahtarına anonim ve/veya genel erişime izin verilmediğinden emin olun.
Önem Derecesi: Yüksek
Kurumsal oturum açma kimlik bilgilerinin kullanıldığından emin olun
Açıklama: Gmail hesapları gibi kişisel hesaplar yerine şirket oturum açma kimlik bilgilerini kullanın. Cloud Platform kaynaklarına daha fazla görünürlük, denetim ve erişimi denetlemek için tam olarak yönetilen kurumsal Google hesaplarının kullanılması önerilir. Kişisel hesaplar gibi kullanıcının kuruluş dışındaki Gmail hesapları iş amacıyla kullanılmamalıdır.
Önem Derecesi: Yüksek
IAM kullanıcılarına proje düzeyinde Hizmet Hesabı Kullanıcısı veya Hizmet Hesabı Belirteci Oluşturucusu rollerinin atanmadığından emin olun
Açıklama: Rolü proje düzeyinde bir kullanıcıya atamak yerine belirli bir hizmet hesabı için kullanıcıya "Hizmet Hesabı Kullanıcısı (iam.serviceAccountUser)" ve "Hizmet Hesabı Belirteci Oluşturucusu (iam.serviceAccountTokenCreator)" rollerini atamanız önerilir. Hizmet hesabı, tek bir son kullanıcı yerine bir uygulamaya veya sanal makineye (VM) ait olan özel bir Google hesabıdır. Application/VM-Instance, hizmetin Google API'sini çağırmak için hizmet hesabını kullanır, böylece kullanıcılar doğrudan dahil olmaz. Hizmet hesabı, kimlik olmanın yanı sıra IAM ilkelerinin eklendiği bir kaynaktır. Bu ilkeler, hizmet hesabını kimlerin kullanabileceğini belirler. Uygulama Altyapısı ve İşlem Altyapısı örneklerini (Uygulama Altyapısı Dağıtıcısı veya İşlem Örneği Yöneticisi gibi) güncelleştirmek için IAM rollerine sahip kullanıcılar, bu örnekleri çalıştırmak için kullanılan hizmet hesapları olarak kodu etkili bir şekilde çalıştırabilir ve hizmet hesaplarının erişimi olan tüm kaynaklara dolaylı olarak erişim elde edebilir. Benzer şekilde, bir İşlem Altyapısı örneğine SSH erişimi de bu örnek/Hizmet hesabı olarak kod yürütme olanağı sağlayabilir. İş gereksinimlerine bağlı olarak, bir proje için yapılandırılmış birden çok kullanıcı tarafından yönetilen hizmet hesabı olabilir. Bir kullanıcıya proje için "iam.serviceAccountUser" veya "iam.serviceAserviceAccountTokenCreatorccountUser" rollerinin verilmesi, gelecekte oluşturulabilecek hizmet hesapları dahil olmak üzere kullanıcıya projedeki tüm hizmet hesaplarına erişim sağlar. Bu, hizmet hesaplarını ve buna karşılık gelen "İşlem Altyapısı örneklerini" kullanarak ayrıcalıkların yükseltilmesine neden olabilir. "En az ayrıcalık" en iyi yöntemlerini uygulamak için IAM kullanıcılarına proje düzeyinde "Hizmet Hesabı Kullanıcısı" veya "Hizmet Hesabı Belirteci Oluşturucusu" rolleri atanmamalıdır. Bunun yerine, bu roller belirli bir hizmet hesabı için kullanıcıya atanarak bu kullanıcıya hizmet hesabına erişim verilmelidir. "Hizmet Hesabı Kullanıcısı", kullanıcının bir hizmet hesabını uzun süre çalışan bir iş hizmetine bağlamasına olanak tanırken, "Hizmet Hesabı Belirteci Oluşturucusu" rolü bir kullanıcının bir hizmet hesabının kimliğinin kimliğine doğrudan bürünmesini (veya onaylamasını) sağlar.
Önem Derecesi: Orta
Kullanıcılara KMS ile ilgili roller atanırken görev ayrımının uygulandığından emin olun
Açıklama: Kullanıcılara KMS ile ilgili roller atanırken 'Görev Ayrımı' ilkesinin uygulanması önerilir.
Yerleşik/önceden tanımlanmış IAM rolü "Bulut KMS Yöneticisi", kullanıcı/kimliğin hizmet hesapları oluşturmasına, silmesine ve yönetmesine olanak tanır.
Yerleşik/önceden tanımlanmış IAM rolü Cloud KMS CryptoKey Encrypter/Decrypter , kullanıcı/kimliğin (ilgili kaynaklarda yeterli ayrıcalıklarla) bekleyen verileri şifrelemesine ve şifrelerini çözmesine olanak tanır.
Yerleşik/önceden tanımlanmış IAM rolü Cloud KMS CryptoKey Encrypter , kullanıcı/kimliğin (ilgili kaynaklarda yeterli ayrıcalıklara sahip) bekleyen verileri şifrelemek için bir şifreleme anahtarı(lar) kullanmasına olanak tanır.
Yerleşik/önceden tanımlanmış IAM rolü Cloud KMS Crypto Key Decrypter , kullanıcı/kimliğin (ilgili kaynaklarda yeterli ayrıcalıklarla) bekleyen verilerin şifresini şifreleme anahtarları kullanarak çözmesine olanak tanır.
Görev ayrımı, bir kişinin kötü amaçlı bir eylemi tamamlayabilmesi için gerekli tüm izinlere sahip olmamasını sağlama kavramıdır.
Bulut KMS'de bu, kullanıcının normalde erişmemesi gereken verilere erişmek ve verilerin şifresini çözmek için anahtar kullanma gibi bir eylem olabilir.
Görev ayrımı genellikle daha büyük kuruluşlarda kullanılan ve güvenlik veya gizlilik olaylarını ve hatalarını önlemeye yardımcı olan bir iş denetimidir.
En iyi yöntem olarak kabul edilir. Hiçbir kullanıcının Bulut KMS Yöneticisi ve aynı anda atanmış herhangi bir Cloud KMS CryptoKey Encrypter/Decrypter, Cloud KMS CryptoKey Encrypterrolü Cloud KMS CryptoKey Decrypter olmamalıdır.
Önem Derecesi: Yüksek
Kullanıcılara hizmet hesabıyla ilgili roller atanırken görev ayrımının uygulandığından emin olun
Açıklama: Kullanıcılara hizmet hesabıyla ilgili roller atanırken 'Görev Ayrımı' ilkesinin uygulanması önerilir. Yerleşik/önceden tanımlanmış IAM rolü "Hizmet Hesabı yöneticisi", kullanıcı/kimliğin hizmet hesapları oluşturmasına, silmesine ve yönetmesine olanak tanır. Yerleşik/önceden tanımlanmış IAM rolü "Hizmet Hesabı Kullanıcısı", kullanıcı/kimliğin (İşlem ve Uygulama Altyapısı'nda yeterli ayrıcalıklara sahip) Uygulamalara/İşlem Örneklerine hizmet hesapları atamasına olanak tanır. Görev ayrımı, bir kişinin kötü amaçlı bir eylemi tamamlayabilmesi için gerekli tüm izinlere sahip olmamasını sağlama kavramıdır. Cloud IAM - hizmet hesaplarında bu, kullanıcının normalde erişmemesi gereken kaynaklara erişmek için hizmet hesabı kullanma gibi bir eylem olabilir. Görev ayrımı genellikle daha büyük kuruluşlarda kullanılan ve güvenlik veya gizlilik olaylarını ve hatalarını önlemeye yardımcı olan bir iş denetimidir. En iyi yöntem olarak kabul edilir. Hiçbir kullanıcının aynı anda "Hizmet Hesabı Yöneticisi" ve "Hizmet Hesabı Kullanıcısı" rolleri atanmamalıdır.
Önem Derecesi: Orta
Hizmet Hesabının Yönetici ayrıcalıkları olmadığından emin olun
Açıklama: Hizmet hesabı, tek bir son kullanıcı yerine bir uygulamaya veya VM'ye ait olan özel bir Google hesabıdır. Uygulama, hizmet hesabını kullanarak hizmetin Google API'sini çağırarak kullanıcıların doğrudan dahil olmasını sağlamaz. ServiceAccount için yönetici erişiminin kullanılmaması önerilir. Hizmet hesapları, atanan roller tarafından belirlenebilen Kaynakların (uygulama veya VM) hizmet düzeyi güvenliğini temsil eder. ServiceAccount'ın Yönetici haklarıyla kaydedilmesi, atanan bir uygulamaya veya VM'ye tam erişim sağlar. ServiceAccount Erişim sahibi, kullanıcı müdahalesi olmadan silme, güncelleştirme değişiklik ayarları vb. gibi kritik eylemleri gerçekleştirebilir. Bu nedenle, hizmet hesaplarının Yönetici haklarına sahip olmaması önerilir.
Önem Derecesi: Orta
Havuzların tüm günlük girdileri için yapılandırıldığından emin olun
Açıklama: Tüm günlük girdilerinin kopyalarını dışarı aktaracak bir havuz oluşturmanız önerilir. Bu, birden çok projeden günlükleri toplamaya ve bunları bir Güvenlik Bilgileri ve Olay Yönetimi'ne (SIEM) dışarı aktarmaya yardımcı olabilir. Günlük girişleri Stackdriver Günlüğü'nde tutulur. Günlükleri toplamak için bunları bir SIEM'e aktarın. Bunları daha uzun süre tutmak için bir günlük havuzu ayarlamanız önerilir. Dışarı aktarma işlemi, dışarı aktaracak günlük girdilerini seçen bir filtre yazmayı ve Cloud Storage, BigQuery veya Cloud Pub/Sub'da bir hedef seçmeyi içerir. Filtre ve hedef, havuz adlı bir nesnede tutulur. Tüm günlük girdilerinin havuzlara aktarıldığından emin olmak için havuz için yapılandırılmış bir filtre olmadığından emin olun. Havuzlar projelerde, kuruluşlarda, klasörlerde ve ödeme hesaplarında oluşturulabilir.
Önem Derecesi: Düşük
Denetim Yapılandırması değişiklikleri için günlük ölçümü filtresinin ve uyarılarının mevcut olduğundan emin olun
Açıklama: Google Cloud Platform (GCP) hizmetleri, Yönetici Etkinliği ve Veri Erişimi günlüklerine denetim günlüğü girdileri yazar. Girdiler GCP projelerinde "kim ne yaptı, nerede ve ne zaman?" sorularını yanıtlamaya yardımcı olur. Bulut denetim günlüğü kayıtları bilgileri API çağıranın kimliğini, API çağrısının zamanını, API çağıranın kaynak IP adresini, istek parametrelerini ve GCP hizmetleri tarafından döndürülen yanıt öğelerini içerir. Bulut denetim günlüğü, konsol üzerinden yapılan API çağrıları, SDK'lar, komut satırı araçları ve diğer GCP hizmetleri dahil olmak üzere bir hesap için GCP API çağrılarının geçmişini sağlar. Bulut denetim günlüğü tarafından oluşturulan yönetici etkinliği ve veri erişim günlükleri, güvenlik analizini, kaynak değişikliği izlemeyi ve uyumluluk denetimini etkinleştirir. Ölçüm filtresinin ve uyarıların denetim yapılandırması değişiklikleri için yapılandırılması, projedeki tüm etkinliklerin zaman içinde herhangi bir noktada denetlenebilmesi için önerilen denetim yapılandırması durumunun korunmasını sağlar.
Önem Derecesi: Düşük
Özel Rol değişiklikleri için günlük ölçümü filtresinin ve uyarıların mevcut olduğundan emin olun
Açıklama: Kimlik ve Erişim Yönetimi (IAM) rol oluşturma, silme ve güncelleştirme etkinliklerinde yapılan değişiklikler için bir ölçüm filtresi ve alarm oluşturulması önerilir. Google Cloud IAM, belirli Google Cloud Platform kaynaklarına ayrıntılı erişim sağlayan ve diğer kaynaklara istenmeyen erişimi engelleyen önceden tanımlanmış roller sağlar. Ancak Bulut IAM, kuruluşa özgü gereksinimleri karşılamak için özel roller oluşturma olanağı da sağlar. Kuruluş Rolü Yöneticisi rolüne veya IAM Rol Yöneticisi rolüne sahip proje sahipleri ve yöneticiler özel roller oluşturabilir. Rol oluşturma, silme ve güncelleştirme etkinliklerinin izlenmesi, erken aşamalarda aşırı ayrıcalıklı rollerin belirlenmesine yardımcı olur.
Önem Derecesi: Düşük
Hizmet hesapları için kullanıcı tarafından yönetilen/dış anahtarların 90 günde bir veya daha kısa sürede döndürüldiğinden emin olun
Açıklama: Hizmet Hesabı anahtarları, kullanıcıların söz konusu hizmet hesabı tarafından erişilebilen Google bulut hizmetlerine yaptığı programlı istekleri imzalamak için kullanılan bir anahtar kimliği (Private_key_Id) ve Özel anahtardan oluşur. Tüm Hizmet Hesabı anahtarlarının düzenli olarak döndürülmüş olması önerilir. Hizmet Hesabı anahtarlarını döndürmek, güvenliği aşılmış veya sonlandırılan bir hesapla ilişkilendirilmiş bir erişim anahtarının kullanılması için fırsat penceresini azaltır. Verilere kayıp, çatlak veya çalınmış olabilecek eski bir anahtarla erişilemediğinden emin olmak için Hizmet Hesabı anahtarları döndürülmelidir. Her hizmet hesabı, Google Cloud Platform (GCP) tarafından yönetilen bir anahtar çiftiyle ilişkilendirilir. GCP içinde hizmet-hizmet kimlik doğrulaması için kullanılır. Google anahtarları günlük olarak döndürür. GCP, GCP dışından kullanılmak üzere bir veya daha fazla kullanıcı tarafından yönetilen (dış anahtar çiftleri olarak da adlandırılır) anahtar çifti oluşturma seçeneği sağlar (örneğin, Uygulama Varsayılan Kimlik Bilgileri ile kullanım). Yeni bir anahtar çifti oluşturulduğunda, kullanıcının özel anahtarı indirmesi gerekir (Google tarafından korunmaz).
Dış anahtarlarla, kullanıcılar özel anahtarı güvenli tutmak ve anahtar döndürme gibi diğer yönetim işlemlerini gerçekleştirmekle sorumludur. Dış anahtarlar IAM API'si, gcloud komut satırı aracı veya Google Cloud Platform Konsolu'ndaki Hizmet Hesapları sayfası tarafından yönetilebilir.
GCP, anahtar döndürmeyi kolaylaştırmak için hizmet hesabı başına en fazla 10 dış hizmet hesabı anahtarını kolaylaştırır.
Önem Derecesi: Orta
GCP fazla sağlanan kimlikler yalnızca gerekli izinlere sahip olmalıdır (Önizleme)
Açıklama: Aşırı sağlanan etkin kimlik, kullanmadıkları ayrıcalıklara erişimi olan bir kimliktir. Aşırı sağlanan etkin kimlikler, özellikle de çok tanımlanmış eylemleri ve sorumlulukları olan insan dışı hesaplar için, kullanıcı, anahtar veya kaynağın güvenliğinin aşılması durumunda patlama yarıçapını artırabilir En düşük ayrıcalık ilkesi, bir kaynağın yalnızca çalışması için gereken kaynaklara erişmesi gerektiğini belirtir. Bu ilke, bir saldırgana çok çeşitli kaynaklara erişim izni veren güvenliği aşılmış kimlik riskini ele almak için geliştirilmiştir.
GKE web panosu devre dışı bırakılmalıdır
Açıklama: Bu öneri, 'disabled': false anahtar-değer çifti için addonsConfig özelliğinin kubernetesDashboard alanını değerlendirir.
Önem Derecesi: Yüksek
GKE kümelerinde Eski Yetkilendirme devre dışı bırakılmalıdır
Açıklama: Bu öneri, 'enabled': true anahtar-değer çifti için bir kümenin legacyAbac özelliğini değerlendirir.
Önem Derecesi: Yüksek
GCP projenizdeki etkin olmayan kimliklerin izinleri iptal edilmelidir
Açıklama: Bulut için Microsoft Defender son 45 gün içinde GCP projenizdeki herhangi bir kaynak üzerinde herhangi bir eylem gerçekleştirmemiş bir kimlik keşfetti. Bulut ortamınızın saldırı yüzeyini azaltmak için etkin olmayan kimliklerin izinlerini iptal etmek önerilir.
Önem Derecesi: Orta
Redis IAM rolü kuruluş veya klasör düzeyinde atanmamalıdır
Açıklama: Bu öneri, kuruluş veya klasör düzeyinde atanan roller/redis.admin, roles/redis.editor, roles/redis.viewer sorumluları için kaynak meta verilerinde IAM izin verme ilkesini değerlendirir.
Önem Derecesi: Yüksek
Hizmet hesaplarının kümede kısıtlı proje erişimi olmalıdır
Açıklama: Bu öneri, bir düğüm havuzunun yapılandırma özelliğini değerlendirerek hizmet hesabı belirtilmediğinden veya varsayılan hizmet hesabının kullanılıp kullanılmadığını kontrol eder.
Önem Derecesi: Yüksek
Kullanıcılar ayrıntılı IAM rolleriyle en az ayrıcalık erişimine sahip olmalıdır
Açıklama: Bu öneri, atanan roller/Sahip, roller/Yazıcı veya roller/Okuyucu için kaynak meta verilerinde IAM ilkesini değerlendirir.
Önem Derecesi: Yüksek
GCP ortamınızdaki Süper Kimlikler kaldırılmalıdır (Önizleme)
Açıklama: Süper kimliğin güçlü bir izin kümesi vardır. Süper yöneticiler, tüm izinlere ve tüm kaynaklara erişimi olan insan veya iş yükü kimlikleridir. Bir hizmete yapılandırma ayarları oluşturup değiştirebilir, kimlik ekleyebilir veya kaldırabilir ve verilere erişebilir, hatta verileri silebilir. İzlenmeden bırakılırsa, bu kimlikler ihlal edilirse önemli bir izin kötüye kullanımı riski sunar.
Önem Derecesi: Yüksek
İlgili içerik
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin